1
| 本文作者: 李勤 | 2016-11-25 22:02 |
在演示如何“搶銀行”前,Jayson E.Street 是非常輕松的,正甩著兩條小腿坐在演講臺上隨音樂在搖擺。
Jayson E.Street 是黑客盛會 DEFCON 組織的全球協調人,在 SyScan 360 對他的介紹(想必也是他自己寫的)中,寫道“他是一個披薩愛好者,曾經把披薩從北京帶到巴西分享,他不希望人們對他的認識僅僅如此,如果注意的話會發現他在2006年被《時代周刊》評選為年度人物”,對,雷鋒網編輯也曾獲得這個獎項,知道這個老梗的人你可以笑了。
不過,告訴你如何搶銀行不是一個笑話,Jayson 今天要出奇制勝,成功奪得你的注意力。
知己知彼,百戰不殆。Jayson 也懂得這個套路,為了防范和偵測這些攻擊,他先要演示攻擊者如何看待“你”的網站和員工,利用他們來攻擊“你”。這個小伙可是在美國銀行從事防御工作15年,在6年多時間內在多個項目中扮演攻擊者,是居家旅游搶銀行必備。
而且,Jayson 的“搶銀行”還是被付費的——很多銀行的 CEO 付費找他測試銀行系統是否安全,是否會被入侵。
在聊聊 Jayson 是如何搶銀行前,先來看看他是如何攻擊電信公司,因為兩個方法路數一致,僅略有差異。Jayson說,
我曾被電信公司雇傭,CEO 希望我進行釣魚攻擊,要求是只能利用一個介入點,任何人點擊任何鏈接都受到攻擊。
Jayson 采取的策略是鎖定這家公司的一個人,于是他先登錄電信公司的網站,找到電信公司 CEO 的介紹頁面,根據頁面上 CEO 的照片,找到了他的推特,然后順藤摸瓜發現了其他相關工作人員帳號。
[該 CEO 的展示頁面]
[該 CEO 的社交網站頁面]
知道了這些后,他可以假裝成任何人來和電信公司的員工進行聯系。
在社交網站上,Jayson 找到很多資料和可能的目標。他發現,這個 CEO 中有一個聯系人參加了 Mobile 360 的會議,他找到了會議網站,找到了同一會議的其中一名參會者(演講者)的詳細信息,以他的名義進行釣魚郵件。
這封釣魚郵件是一封商務合作郵件。
這封郵件的狡猾之處在于,提到的是從移動設備發送,Jayson 說,人們心理會有預期:移動設備打開的網頁(即實際上是釣魚網站)看上去會和實際官網不一樣,于是會放心打開,就算比對也不會懷疑。
放心地打開后,出現這個頁面,就說明釣魚成功了。
到這一步,我只花了三十分鐘。
Jayson 帶著小驕傲說,并沒有任何復雜的技術,但卻完成了這次攻擊。
看上去是社會工程學的方法,事實上,在針對銀行開展襲擊,即搶銀行時,又是另一個不同的小故事。
比較憂傷的是,Jayson 稱,這個故事所有的信息搜集,在乘飛機的過程中就完成了,對,你不要嫉妒,人家乘飛機時可以上網。
曾經有一個銀行想讓我去介紹如何進行對銀行的攻擊,讓我設計一個攻擊路線圖。我找到了某地最大的一家銀行官網,登錄攻擊目標網站時,普通人首先看到的是:嗯,這個藍色頁面的網站很好看嘛。
不過,攻擊者才不看這些,攻擊者關注的是 IP 地址,找到美國主機的位置,包括是否有第三方主機服務公司來托管網站,還有其他信息,如網絡、FTR、ASN,如果所有這一切都在第三方托管中,只要找到第三方托管服務器的漏洞, 不僅是這個網站,托管在上面的網站就可以一網打盡。
通過搜集信息,Jayson 在社交網站上找到這家銀行的工作人員,可以詳細看到各種信息,在哪里讀書,手機號碼、家庭地址,大家都看得到,大部分人愿意在社交網站上分享他們的信息,而“受害者”并不知道黑客在“調查”她。
Jayson 強調,重要的一點是,在美國搶劫銀行前可能會先劫持銀行的工作人員,拿到她的權限再來搶銀行,所以獲得這些有權限的銀行工作人員特別危險,尤其在社交網站上把家庭地理位置和房屋照片都曬出來的這種。
他們還會被綁架,甚至作為人質,直到第二天早上這個銀行上班之后,挾持他們打開保險柜,這是美國搶劫銀行會出現的事。
我先從她的朋友下手,尤其是她的社交網站上新加的盆友。
他找到了目標對象——銀行工作人員最近添加的參加銀行開展的打保齡球活動的朋友,然后從朋友的角度發了一封釣魚郵件給這個銀行工作人員。
為什么這么做,Jayson 解釋:
因為新加的朋友溝通還不多,還不熟悉,甚至之間還會提一些問題,她們還有一些共同點,比如,給孩子打保齡球的公益活動,仿制被攻擊者朋友的公司郵箱地址,就可以發郵件了。
這封郵件的內容是什么,為什么被攻擊者會心甘情愿地點擊?
來看一下郵件內容:
在這里,最近當選美國總統的川普要躺槍了。在輕松友好的交流氛圍中,Jayson 對雷鋒網表示,他不支持川普,因為這個“更糟糕”。
于是,他在釣魚郵件中,其實是邀請被攻擊者參加抗議活動——政治是我們都關心的事!所以,十有八九要中招!
不過,Jayson 多次強調,這次演示的攻擊并沒有真實發生,因為郵件他沒有發送出去。只是為了給大家展示:看,我能這么做,而且這么簡單!
還有一個重要問題是,攻擊者為什么能這么迅速地收集信息?Jayson 把攻擊者的老底摸清了。
我在這里給大家展示從攻擊者角度怎么看,我不想給你們傳播不好的東西,讓你們恐懼,我們希望給大家普及這些只是之后,你們提高防范意識。
Jayson 先給大家打了預防針,意思是:不是教你去當攻擊者!看看就好,預防第一。
先上技術網站找攻擊工具,然后找一下攻擊目標,比如,攝像頭,防火墻薄弱的地方。而對于銀行業,則可以在暗網等找到銀行被販賣的數據。
所以,下面雷鋒網展示一下 Jayson “推薦”的攻擊者必看信息。
1.攻擊者常用工具
2.在哪里找被泄密的數據
3.找到網站架構的薄弱地帶
知道攻擊者將會如何開展行動后,Jayson 對企業和個人進行安全防護有以下重點建議。
1.至少每周要監測能搜到的“銀行”的信息。
2.建議網站進行潛艇式構建——這個地方有問題,別的地方可以被保護,一個地方被攻擊,其他地方還能工作,所以需要分段網絡架構!
3.在網站上的溝通可以進行切割,不是所有人都需要有外部溝通的權限,有些溝通只要在局域網溝通。
4.利用各種工具檢視現有網站受到攻擊的可能。
5.關于網站上“你是誰”的代碼名稱是聯系信息,把這個名字設置成非真實姓名,但貼上真實電話分機號,聯系電話、郵箱分別設置不同名稱。
6.為 1X1 單像素照片添加提醒鏈接,一般人不會點開這種圖片看,只有攻擊者才會利用這種圖片來尋找突破口。
7.還應為用戶代理字符串設置提醒。
8.如果可以,控制可以看到你的網站國家和地區,比如,一個地方性銀行需要全世界的人來點擊嗎?預防攻擊。
9.在你的職位列表上添加觸發器/錯誤線索,違規操作立馬就能知道。
10.不使用公司設備進行危險社交操作,如掃二維碼。
11.對員工進行安全意識培訓。
最后,需要再次聲明的是, Jayson 演示的對企業、銀行開展的攻擊都是企業授權,讀者盆友不要非法嘗試,伸手必被捉。“搶劫者” Jayson 還告訴雷鋒網,做了這么多看似有破壞性的事情,事實上他一直在遵循自己“守衛者”的準則,他還有什么故事?敬請期待雷鋒網對 Jayson 的人物專訪。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
